Zaif70億円不正アクセス事件についてのメモ
Zaif70億円不正アクセス事件についてのコメントメモ書きを作ったので上げておきます。
●取引所、社内システムの脆弱性か
複数の仮想通貨が被害に遭っていることから、Zaif自体のシステム、もしくはテックビューロの社内システムに脆弱性があったことは明白。セキュリティ対策が不十分であることがハッキリしている。金銭を扱うシステムは慎重すぎるほど慎重に設計すべきであり、投資が不十分であったと言わざるを得ない。
●過去の事件をふまえた対策を行っていない
Mt.GOX、コインチェックはいずれもホットウォレットでの盗難だった。今回もホットウォレットに保管されていた仮想通貨が盗まれている。テックビューロの「セキュリティ対策室」の記述によれば「コールドウォレット化している」との表記がある。すべてをコールド化するのは難しいとしても、ホットウォレットに70億円もの仮想通貨があったのは問題であり、宣言していることと実態がかけ離れている。特に社長の朝山氏はコインチェック事件の時に業界団体代表として、問題点や事件背景をコメントする立場にあったのに、自分の会社では実行できていなかったことになる。
●被害に気づくのが遅すぎる
14日の事件発生から以上を検知する17日までに3日もかかっている。コインチェックの事件でも犯人で検知できているのに、70億円も盗まれて3日も気づかないのは異常事態。検知するシステムが動作しない、もしくは検知しても人間が見ていない可能性すらある。システム監視に大きな欠陥がある。
●対応が遅い
17日に気づいてから金融庁報告まで1日、警察届け出まで2日かかっている。さらにユーザーに発表するまで3日もかかり、事件発生から6日もたってからの発表となった。利用者をないがしろにする対応はあまりにお粗末であり、情報公開を必須とする金融庁の仮想通貨取引所の条件も満たしていない
●度重なるサーバートラブル
1月にAPI不正利用による盗難事件、今年に入って2回の価格ジャンプ事件を起こしている。特に後者はアクセス集中があると処理しきれずに止まってしまい、事前の成行注文を狩る形の値動きになり、他者から価格が大きく乖離した。ユーザーの間でも「サーバーが弱いZaif」と認識されている。取引所のシステムとして弱すぎる。
●「実録! ビットコイン&仮想通貨の深い闇」
上記の話はこの本にも書いています。 https://www.amazon.co.jp/dp/4800283612
●メディア対応のお粗末さ
ブロックチェーン推進協会BCCCの副代表理事や、日本仮想通貨事業者協会JCBAの理事、NEM財団の理事なども務める社長の朝山貴生氏。Abema
Primeなどのテレビ番組にも出演する仮想通貨取引所業界の顔とも言える立場にあるのに、いざ事件が起きるとツイッターを非公開に。メディアから会社への問い合わせもほぼ返事をせず、記者会見も行わないことでメディア・ユーザーから不信感が出ている。
●金融庁のメンツの問題にも
金融庁から3回目の業務改善命令が出た。みなしではない登録業者が、3度もの業務改善命令を受けるのは異常であり、登録させた金融庁の責任問題にも発展する。FISCOによる支援で済む問題ではなく、閉鎖も含めた抜本的な対策が必要になるだろう。